La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Bouygues Telecom => Incidents Bouygues => Discussion démarrée par: cmer le 22 mars 2022 à 11:09:31
-
Bonjour,
Depuis hier il m'est impossible d'utiliser des serveurs DNS alternatif a ceux de Bouygues, je m'explique.
Dans ma configuration actuelle j'utilise mon propre matériel, Unifi gateway qui est connecté sur l'ONT et écoute sur le vlan100 (je n'utilise donc pas la Bbox).
Pour ma gestion des DNS j'utilise un serveur Adguard qui fonctionne dans une image docker sur mon serveur en local.
Jusqu'à hier j'utilisais le resolver DNS de Cloudflare depuis Adguard mais depuis hier soir plus aucun serveur DNS alternatif ne semble répondre, seuls ceux de Bouygues répondent correctement . :o
sur mon serveur si je force une résolution du domaine google.fr en utilisant le serveur DNS 8.8.8.8 il n'y a aucune réponse
root@nas:~# nslookup google.fr 8.8.8.8
;; connection timed out; no servers could be reached
Si je capture le trafic sur l'interface WAN du Vlan100 les paquets sortent bien sur internet mais il n'y a aucun retour
192.168.2.2.53341 > 8.8.8.8.53: [udp sum ok] 42873+ A? google.fr. (27)
176.191.xx.xx.53341 > 8.8.8.8.53: [udp sum ok] 42873+ A? google.fr. (27)
Et idem pour tous les autres, j'ai été obliger de remettre les serveurs DNS de Bouygues qui eux fonctionne bien.
194.158.122.10
194.158.122.15
On dirait qu'il y a une restriction d'utilisation des serveurs DNS en amont chez Bouygues ou bien quelque chose qui ne va pas chez moi. :-[
J'ai également fait un test depuis DNS benchmark depuis mon poste qui confirme les restrictions de serveurs DNS.
(https://i.imgur.com/FCqMeU6.png)
-
Hello, c'est un problème de ton côté. Chez moi (je n'utilise pas la Bbox non plus) je peux résoudre n'importe quel nom sur n'importe quel serveur.
Tu peux traceroute 8.8.8.8 ou 1.1.1.1 ?
-
Merci de ta réponse.
Pas de problème depuis les traceroutes.
root@nas:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 gateway (192.168.2.1) 0.403 ms 0.543 ms 0.743 ms
2 176-183-168-2.abo.bbox.fr (176.183.168.2) 7.231 ms 6.527 ms 8.414 ms
3 * * *
4 * * *
5 62.34.2.117 (62.34.2.117) 15.537 ms 15.667 ms 15.956 ms
6 * * *
7 209.85.148.0 (209.85.148.0) 13.872 ms 13.931 ms 10.864 ms
8 74.125.244.225 (74.125.244.225) 13.369 ms 74.125.244.209 (74.125.244.209) 12.512 ms 74.125.244.225 (74.125.244.225) 14.301 ms
9 142.250.46.101 (142.250.46.101) 14.402 ms 172.253.67.157 (172.253.67.157) 16.141 ms 142.251.78.77 (142.251.78.77) 14.088 ms
10 dns.google (8.8.8.8) 11.635 ms 11.350 ms 10.845 ms
root@nas:~# traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
1 gateway (192.168.2.1) 0.399 ms 0.556 ms 0.726 ms
2 176-183-168-2.abo.bbox.fr (176.183.168.2) 6.197 ms 8.012 ms 7.297 ms
3 * * *
4 62.34.2.115 (62.34.2.115) 20.391 ms 19.677 ms 21.842 ms
5 be5.cbr01-ntr.net.bbox.fr (212.194.171.137) 21.682 ms 19.467 ms 21.497 ms
6 * * *
7 cloudflare.par.franceix.net (37.49.237.49) 16.724 ms 16.843 ms 17.731 ms
8 one.one.one.one (1.1.1.1) 17.183 ms 16.584 ms 16.284 ms
j'ai l'impression que mon problème concerne uniquement l'UDP sur le port 53, mais je n'arrive pas à comprendre pourquoi les paquets sortent de mon WAN mais sans réponse de leurs parts
11:28:28.335484 IP 176.191.xx.xx.36733 > 1.1.1.1.53: 32703+ A? google.fr. (27)
11:28:46.140009 IP 194.158.122.15.53 > 176.191.xx.xx.37580: 35261 1/1/1 CNAME gsp85-ssl.ls2-apple.com.akadns.net. (162)
11:28:46.141033 IP 194.158.122.10.53 > 176.191.xx.xx.33248: 35261 1/1/1 CNAME gsp85-ssl.ls2-apple.com.akadns.net. (181)
-
Tu peux forcer dig en TCP pour voir ?
dig google.fr +tcp @8.8.8.8
-
ça fonctionne bien.
❯ dig google.fr +tcp @8.8.8.8
; <<>> DiG 9.16.1-Ubuntu <<>> google.fr +tcp @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62018
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;google.fr. IN A
;; ANSWER SECTION:
google.fr. 300 IN A 142.250.200.227
;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Mar 22 11:38:46 CET 2022
;; MSG SIZE rcvd: 54
-
Si tu swappes rapidement ton routeur par ta bbox pour faire un test avec ta bbox sur un pc branché direct dessus, ça marche ?
-
Aucun problème si je branche la box, c'est donc depuis mon unifi.. :(
Je vais creusé plus en détails car ce problème me taraude.
Merci de ton aide :)
-
Je confirme que Bouygues Telecom ne bloque rien de ce type.
Je suis intéressé de savoir ce qui a posé pb sur ton unifi.
-
Tu n’as pas activé un filtrage dns sur ton réseau LAN ? Ce filtrage redirige tout le flux UDP 53 vers des serveurs forcés.
-
Non rien de tout, j'arrive a voir les packets sortir sur le WAN mais ils ne reviennent jamais. ???
Je vais regarder ce soir dans le Firewall du routeur.
-
D’acc, regarde avec un tcpdump port 53 sur ton interface wan et lan (avec l’argument qui va bien) et compare si tu vois les mêmes paquets sur les deux.
-
Yep, sur mon 1er post il y a la capture tcpdump sur avec la translation NAT du lan a DST du WAN
-
Pardon j’ai mal vu, effectivement regarde du côté du pare-feu en mettant un Allow du port 53 avant les règles prédéfinies